【Android病毒分析报告】 - ZxtdPay 吸费恶魔

最新推荐文章于 2019-09-07 09:34:56 发布
最新推荐文章于 2019-09-07 09:34:56 发布
阅读量137 收藏
点赞数
文章标签: 移动开发

本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543

作者:Jack_Jia 邮箱:309zhijun@163.com


近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费方式。目前该病毒的吸费方式有以下几种:


1、 后台私自发送短信订阅付费服务。
2、 通过WAP自动下载收费应用,并自动完成扣费流程。
3、 后台私自拨打收费IVR服务。


另外在对该新病毒的分析过程中还发现,该病毒经常和MMarketPay、UpdtBot、ScrXo或SmsWorker等已知吸费类病毒同时出现在部分样本中,推测该新病毒和这些已知扣费病毒应该出自同一开发者。

一、病毒样本基本信息


样本MD5 :90f4647f01ee3472100121c43f3b09f2
应用包名:com.tencent.mtt


二、病毒代码分析


1、首先该病毒在AndroidManifest.xml文件中注册大量系统频发类广播,以便恶意组件能够顺利运行。



zxtd_1

2、恶意代码树结构如下:



代码执行逻辑如下:

1、系统广播(如接收到短信、开启启动、安装删除应用等)触发ZxtdRecver广播接收器执行。
2、ZxtdRecver判断PlatformService服务是否启动,如果未启动且距离上次执行服务时间超过3小时则启动该服务。

3、 PlatformService服务启动一个新的线程执行C


4、在新线程C中主要完成以下工作:

注册短信接收器和成功发送短信的PengingIntent接收器

该病毒首先通过修改APN接入点用于WAP扣费,该病毒能够自动解析WAP页面,自动完成整个WAP应用下载支付业务。


该病毒访问服务器获取吸费指令,根据指令的不同,采用不同的吸费方式。


zxtd_3

对扣费结果和次数进行统计:


qq_33974741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android reshare.c病毒,恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析...
weixin_30467861的博客
05-26 2万+
META-INF/MANIFEST.MFtNDfEFTy~s{Cg\V/OxIl[Mf"JC E_U'cB1$^x6"i]6U#3D5Tmw>20#&hG;bV+l*XK]xJU"`#k})ek?w&);ViFd0iCFvye{(jB9w%^!+yEj2,DGAW|^8w's%bD*eQ6n]f@I_w3_nP_g'xWll)zf[}l[[Rpn7x7?vbxfuVzgOj^...
android reshare.c病毒,bgfx:跨平台的图形渲染库
weixin_33728584的博客
05-26 1145
bgfx - Cross-platform rendering library Cross-platform, graphics API agnostic, "Bring Your Own Engine/Framework" style rendering library.Supported rendering backends:Direct3D 9Direct3D 11Direct3D ...
Android病毒分析报告】--FakeInstaller
移动编程
03-03 173
Android.FakeInstaller 是一个广泛传播的移动恶意软件系列。它曾假冒奥运会赛事成绩应用程序、Skype、Flash Player、Opera 和许多其他流行应用程序。事实上,在移动恶意软件界,FakeInstaller 系列是我们所分析过的最猖獗的恶意软件之一。迈克菲所处理过的针对 Android 系统的恶意软件样本中,超过 60%是来自 FakeInstaller系列。随着...
勒索病毒分析报告
w_g3366的博客
09-07 3937
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
一个简单的Android木马病毒的分析
热门推荐
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
Trojan/Android.GDownload.jw[exp,gen] 病毒报警解决方案
believer123的专栏
03-05 2万+
去年12月份开始,我的个人app记忆空间就被华为应用市场报病毒了,而且非常突然,之前都是好好的,突然报毒打得我猝不及防。 华为市场提供的信息如下: 你好,你的应用审核复测 应用经手机管家检测为风险软件,存在中等风险;无法上架; 是不是很坑,在使用华为手机进行验证才得知是病毒Trojan/Android.GDownload.jw[exp,gen], 看得我一脸懵逼,因为对病毒处理这块没有太多的...
Android日志分析工具-V3.6.4
07-14
为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需...
Android ADT(ADT-23.0.6.zip)离线包
06-19
Android ADT,全称为Android Developer Tools,是Google推出的一个集成开发环境(IDE),专为Android应用开发者设计。这个离线包ADT-23.0.6.zip包含了开发者在没有网络连接时,仍然可以安装和使用的全套工具。下面将...
Android Studio SDK Build-tools, revision 19.1.0
07-24
**Android Studio SDK Build-tools 19.1.0详解** Android Studio SDK Build-tools是Android开发者必备的工具集,主要用于构建Android应用程序。版本19.1.0是该工具集的一个特定迭代,它包含了构建Android应用时所需...
android-4.3-sdk android-sdk-4.3-platforms
04-16
当描述中提到"将android-18解压到Android\android-sdk\platforms下"时,这意味着你需要下载并安装Android 4.3(API级别18)的SDK平台,以便在开发环境中使用。 1. **API级别18**:每个Android版本都有一个对应的API...
谈谈最近很火的android手机病毒
张竞成的博客
08-03 3万+
““XXX(机主姓名)看这个,ht://********XXshenqi.apk”最近一种手机病毒爆发,机主收到这样的短信,开头是以发送者手机通讯录存储的名字为开头,然后再让对方点开一个网页链接。 其实熟悉android的朋友一看就明白这个病毒原理其实很简单。下面就来谈谈这个病毒的原理和防范方法。
qq自动传文件病毒变种分析及手工查杀一例
weixin_34055787的博客
11-08 147
信息来源:邪恶八进制信息安全团队([url]www.EvilOctal.com[/url]) 文章作者:EvilOctal [E.S.T] 昨天晚上接到伊天姑娘传过来的一个qq自动传输文件病毒体的变种 于是赶在今天晚上用了一些时间做了分析和抓图以 及手工查杀测试 成功了所以总结给大家 首先 被此病毒感染的现象分析如下: 1 病毒伪装成JPG文件的图标 但...
Android病毒家族及行为(一)
weixin_34380296的博客
11-04 746
1病毒名称:a.remote.GingerMaste中文名:病毒家族:GingerMast病毒类别:远程控制恶意行为:获取root权限,同时连接远端服务器,在其指令控制下静默下载其它恶意软件,给用户手机带来持续的威胁。2病毒名称:a.expense.Faker91.a中文名:资费黑手病毒家族:Faker91病毒类别:恶意扣费,隐私窃取,恶意行为:在后台频繁发送彩信和短信;同时获取用户手机上安装包的...
ShareREC导入Android并成功运行
张无影的博客
12-01 1748
此文主要是针对于ShareREC导入到Android中会出现的一下错误所解决的方法,对于初学者而言比较有用,而我也是初学者,如果有什么问题希望大家能指出来。
obad病毒整理汇总(最复杂精致的android病毒
weixin_34281477的博客
12-05 235
2019独角兽企业重金招聘Python工程师标准>>> ...
Android手机病毒分析(二)
Charles_sch的博客
02-06 2390
上一回我们将手机应用反编译为我们熟悉的Java代码,接下来我们可以进行分析了。 我们将这些应用称之为手机病毒,实际上其并不是病毒,只能算是恶意应用(至少我分析到的app都是这样的)。这些手机应用不具有完整的传播性等全部病毒特性,但其以窃取用户隐私,对用户进行恶意扣费等行为给用户造成了危害。规范这里我们以国家网络应急协调中心的等单位制定的的《移动互联网恶意代码描述规范》为准。 手机恶意代码有以下几
南开大学硕士论文:Android病毒行为分析工具设计与实现
本文由南开大学研究生王伟撰写,针对Android手机病毒行为的自动分析进行了深入研究。作者首先概述了当前Android手机安全形势,强调了由于Android的开放性,病毒程序可能造成的隐私泄露和系统破坏问题。相比于传统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值